Tiểu luận: Thiết kế hệ thống mạng cho một công ty (Công ty TPLTRANSER)

LỜI CẢM ƠN Chúng em bày tỏ lời cảm ơn chân thành và sâu sắc nhất đến thầy giáo: Nguyễn Thành Thái, người đã giảng dạy bộ môn thiết kế mạng và hướng dẫn chúng em thực hiện bài tiểu luận này. Và chúng em gửi lời cảm ơn đến hai anh: Nguyễn Mạnh Cường & Tô Văn Tỏ là nhân viên IT của công ty THNH Nhân Thăng đã cung c ấp tài li ệu và hướng dẫn chúng em rất nhiều. Chúng em trân trọng cảm ơn đến các thầy, cô giáo Khoa công nghệ thông tin - Trường đại học công nghiệp thành phố Hồ Chí Minh, các thầy cô bộ môn đã giảng dạy, tạo điều kiện cho chúng em hoàn thành bài tiểu luận này. Đồng thời chúng tôi cũng gửi lời cảm ơn đến anh chị và bạn bè sinh viên cùng chuyên ngành cũng như các anh em trên các blog, diễn đàn đã chia sẻ tài liệu, góp ý kiến giúp chúng tôi trong suốt thời gian qua. Mặc dù đã cố gắn hết sức, nhưng cuốn tiểu luận này không tránh khỏi những thiếu sót. Rất mong quý thầy cô và bạn bè đóng góp ý kiến để chúng em hoàn thiện bài ti ểu luận này tốt hơn. Xin chân thành cảm ơn. Nhóm thực hiện Nguyễn Văn Đông & Mai Minh PhụngLỜI NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… ………...................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ................................................................................................................................................... ..................................................................................................................................MỤC LỤC 1. Mục đích yêu cầu.........................................................................................................................1 2. Tổ chức công ty............................................................................................................................2 3. Thiết kế logic và thiết kế vật lý....................................................................................................2 4.Thiết bị cài đặt..............................................................................................................................4 5. Phần mền ứng dụng....................................................................................................................5 6. Phương án triển khai....................................................................................................................5 6.1 Bảng phân hoạch IP...............................................................................................................5 6.2. Thiết kế và xây dựng sơ đồ hệ thống..................................................................................6 6.2.1 Thiết kế và xây dựng Domain..........................................................................................6 6.2.2 Xây dựng cấu trúc OU và Group.....................................................................................8 6.3 Chiến lược Backup và Restore Active Directory...................................................................10 6.3.1 Yêu cầu khi thực hiện Backup Restore cho Active Directory........................................10 6.3.2 Định hướng thực hiện....................................................................................................11 6.3.3. Cách thực hiện:.............................................................................................................11 6.3.4. Tổng kết Backup & Restore AD....................................................................................12 6.4. Thiết kế và xây dựng DNS..................................................................................................12 6.4.1. Chức năng của DNS server:.........................................................................................12 6.4.2. Yêu cầu định hướng và cách thực hiện........................................................................13 6.4.3.Tổng kết dịch vụ DNS...................................................................................................14 7. Chiến lược bảo vệ.....................................................................................................................14 7.1 Xây dựng và Cấu hình File server........................................................................................14 7.2 Định hướng phân quyền NTFS và cách thức thực hiện:......................................................14 7.3 Sử dụng Quota để giới hạn không gian lưu trữ...................................................................16 7.4 Giám sát hoạt động của nhân viên trên file server với Audit...............................................17 7.5 Sử dụng Shadow Copies......................................................................................................177.6 Chiến lược Backup & Restore cho File Server.....................................................................18 7.7 Xây dựng ổ đĩa dự phòng Raid............................................................................................19Thiết kế hệ thống mạng 1. Mục đích yêu cầu Xây dựng hệ thống File Server và chiến lược sao lưu phục hồi dữ liệu cho user trong hệ thống mạng của Cty với các yêu cầu sau: - Mỗi Nhân viên đều có quyền tương ứng trên File Server - Hệ thống File Server chứa tài nguyên phải được chia sẻ - Mỗi Nhân viên khi logon vào hệ thống sẽ có 2 ổ đĩa mạng (dùng chung và dùng riêng). - Mỗi Nhân viên khi làm việc dữ liệu phải được lưu trên File Server, không cho phép nhân viên lưu trữ dữ liệu trên máy local. - Xây dựng chiến lược sao lưu và phục hồi dữ liệu cho hệ thống File Server  Nội dung chuyên môn cần có: - WSUS - Remote Assistant: dùng để hổ trợ support từ xa khi người quản trị từ internet remote về công ty. - Group policy: account, local, software restriction. - File server: Sharing & NTFS permission, backup & restore. - User & Group: home folder, script (log in). - DHCP. - DNS. - Printer server: ngoài các cấu hình cơ bản có thêm phần có thể sử dụng printer qua internet. Trang 1Thiết kế hệ thống mạng - RAID - Web, FTP được publish(NAT) ra internet dùng RRAS. - Deploy antivirus. 2. Tổ chức công ty VNTransport là một công ty vận tải đường bộ. Hiện tại công ty đang tọa lạc tại một toà nhà ở TP.HCM. Đã hoạt động gần 5 năm và muốn xây dựng hệ thống mạng nội bộ mô hình domain cho công ty. Cấu trúc toà nhà của công ty gồm một tầng trệt và ba tầng lầu. Tầng một đã được sử dụng cho ba phòng ban, tầng hai cho hai phòng ban, tầng ba là tầng quản lý tập trung các máy chủ quan trọng của công ty. Chi tiết: Nhân sự và phòng ban trong công ty: - Phòng Hành chính nhân sự: 10 người (tầng 1) - Phòng Kế hoạch kinh doanh: 10 người (tầng 1) - Phong Kỹ Thuật: 10 người (tầng 1) - Phòng Tài chính – Kế Toán: 20 người (tầng 2) - Phòng Ban Giám Đốc: 4 người (tầng 2) 3. Thiết kế logic và thiết kế vật lý Công ty cần xây dựng 1 hệ thống mạng theo mô hình domain đ ể quản lý tập trung tạo điều kiện thuận lợi cho việc quản trị hệ thống mạng. Có tấc cả 5 server, trên mỗi server chạy các dich vụ khác nhau để tiết kiệm chi phí. Chi tiết về các dịch vụ trên mô hình chức năng sau: Trang 2Thiết kế hệ thống mạng Hình 1: Mô hình chức năng Thiết kế mô hình vật lý Hình 2: Mô hình vật lý Trang 3Thiết kế hệ thống mạng Thiết kế mô hình IP Hình 3: Mô hình IP 4.Thiết bị cài đặt - 53 computer cấu hình mạnh và vừa - 5 server 2003 - 1 Modem ADSL - 2 witch 24 port, 1 switch 16 port, 4 switch 8 port - 4 máy in LaserJet - Cable RJ45-ADC 450 Ưu điểm: công nghệ phổ biến và giá thành rẻ Trang 4Thiết kế hệ thống mạng Nhược điểm: hệ thống có thể xảy ra lỗi do phần mềm nên cần có nhân viên kỹ thuật chuyên môn hỗ trợ 5. Phần mền ứng dụng - Sử dụng Windows Server 2003 để cài đặt và quản lý tấc cả các dịch vụ quan trọng trong công ty - File server: Lưu trữ, chia sẽ, quản lý dữ liệu tập trung - Domain Controller, DNS, DHCP server: quản lý hệ thống các đối tượng, phân giải tên, cấp phát IP động cho toàn bộ vùng mạng LAN - Web, FTP, Printer server: Quản lý web, ftp và máy in mạng. - RIS, WSUS: triển khai hệ điều hành, cập nhật các bản vá lỗi cho hệ thống - RRAS, Antivirus: làm chức năng router (Lan-Routing, VPN, NAT), quản lý việc quét virus cho các antivirus client trên máy nhân viên và cập nhật các bản diệt virus mới từ internet. 6. Phương án triển khai 6.1 Bảng phân hoạch IP Default Deseription Interface IP Mask Gateway DNS server Modem ADSL External 192.168.1.113 255.255.255.252 192.168.1.113 DNS ISP Router External 192.168.1.114 255.255.255.252 192.168.1.113 DNS ISP Internal-server 192.168.1.101 255.255.255.240 Antivirus LAN-Floor 1 192.168.1.1 255.255.255.192 LAN-Floor 2 192.168.1.65 255.255.255.224 192.168.1.97 DC 1 Internal-server 192.168.1.97 255.255.255.240 192.168.1.101 192.168.1.98 DNS1 Forw ader: DHCP 1 đến Isp DC 2 Internal-server 192.168.1.98 255.255.255.240 192.168.1.101 192.168.1.97 Trang 5Thiết kế hệ thống mạng DN 2 192.168.1.98 DHCP 2 Forw ader: đến Isp File server WSUS server Internal-server 192.168.1.99 255.255.255.240 192.168.1.101 192.168.1.97 192.168.1.98 RIS server Web server 192.168.1.97 FTP server Internal-server 192.168.1.100 255.255.255.240 192.168.1.101 Printer server 192.168.1.98 192.168.1.2 -> Floor 1 LAN-Floor 1 192.168.1.62 255.255.255.102 192.168.1.1 192.168.1.97 192.168.1.98 192.168.1.66 -> Floor 2 LAN-Floor 2 192.168.1.94 255.255.255.224 192.168.1.65 192.168.1.97 192.168.1.98 6.2. Thiết kế và xây dựng sơ đồ hệ thống 6.2.1 Thiết kế và xây dựng Domain Xây dựng cấu trúc Active Directory Trang 6Thiết kế hệ thống mạng Hình 4: Mô hình Domain Chức năng của Domain Controller: Máy DC giúp quản lý các đối tượng như domain, ou, group, user, máy in, và rất nhiều các đối tượng khác. Để máy DC hoạt động ổn định, cấu hình đúng là cực kỳ quan trọng. Ta tiến hành xây dựng 2 DC đồng cấp trên hệ thống giúp tối ưu hóa kh ả năng làm việc cũng như sự an toàn cho hệ thống. Ưu điểm: Hai máy DC đồng cấp có cơ cấu Replicate dữ liệu qua lại và hoạt động ngang hàng. Khi có một user gửi yêu cầu lên DC1 xử lí, thông tin từ user thứ 2 sẽ đ ược tiếp Trang 7Thiết kế hệ thống mạng nhận bởi DC2. Hai máy này sẽ thay phiên nhau làm việc, giúp hệ thống vận hành nhẹ nhàng hơn. Khi có một máy trong hệ thống không hoạt động nữa, máy DC còn lại sẽ có nhiệm vụ thực hiện hết tấc cả các công việc điều hành và quản lý các đối tượng. Giúp hệ thống vẫn vận hành tốt khi có sự cố với một máy DC nào đó. Khi xây dựng 2 dc đồng cấp, dữ liệu truyền qua giữa 2 máy này theo cơ chế nhân b ản (Replicate), bảo mật và không chiếm quá nhiều băng thông hệ thống như quá trình transfer. Ta xây dựng 2 máy Domain controller đồng cấp lần lượt như sau: DC1: - Domain type: Forest Root Domain - Full quality domain name: server01.vntransport.vn DC2: - Domain type: Additional Domain - Full quality domain name: server02.vntransport.vn DC1 và DC2 đồng cấp hoạt động ngang hàng chia sẽ thực hiện các yêu cầu từ các client trong hệ thống. Khi DC1 bị sự cố DC2 có nhiệm vụ thực hiện quản lý các đối tượng cho DC1 6.2.2 Xây dựng cấu trúc OU và Group Trang 8Thiết kế hệ thống mạng Hình 5: Mô hình OU và GROUP Chiến lược Group được sử dụng: A-G-P, áp dụng khi forest có một domain và ít user. Giải thích chiến lược A-G-P: Account – Global Group – Permission. Các User Account (A) được đưa vào Global Group (G), và giới hạn quyền tới group này (P). • Ưu điểm: - Các group không lồng vào nhau nên việc xử lý sự cố sẽ dễ dàng hơn - Tài khoản thuộc về một phạm vi nhóm đơn lẻ. • Nhược điểm: Trang 9Thiết kế hệ thống mạng - Tại mọi thời gian một người dùng xác nhận với một tài nguyên. Server kiểm tra thành viên của nhóm và xác định nó có phải là member không? - Sự thực thi bị giảm sút với vì nhóm global không có Cache. Bảng thiết kế Group Group Scope Group Type Doman Local Distribute Universal Security Group Global OU BanGiamDoc P P BanGiamDoc ThuKy P P BanGiamDoc KToan P P KeToan HC-NS P P HanhChinh-NhanSu KT-KD P P KeHoach-KinhDoanh KThuat P P KyThuat 6.3 Chiến lược Backup và Restore Active Directory. Để đảm bảo sự an toàn cho dữ liệu và khả năng hồi phục dữ liệu khi cần thiết. Ta tiến hành backup và restore cho Active Directory 6.3.1 Yêu cầu khi thực hiện Backup Restore cho Active Directory - Đảm bảo dữ liệu được lưu trữ tốt để phục hồi sau backup - Lựa chọn thời đúng thời điểm để backup không gây ảnh hưởng hoạt động của máy chủ - Sử dụng các chiến lược restore hợp lý khi gặp những sự cố khác nhau trên AD Trang 10Thiết kế hệ thống mạng 6.3.2 Định hướng thực hiện - Sử dụng thiết bị lưu trử chuyên dụng cho việc backup là Tape Driver: Hewlett Packard StorageWorks DAT 24 (DW069A) DAT Tape Drive DAT, 12 GB, USB 2.0 Interface, Internal Enclosure, 1.5 MBps, For: PC Platforms. - Chọn thời gian backup thích hợp tốt nhất là vào những lúc vắng nhân viên làm việc như vào lúc nghỉ trưa hoặc sau giờ làm việc. - Sử dụng các chiến lược restore phù hợp như: Primary, Non-Authoritative, Anthoritative 6.3.3. Cách thực hiện: a. Backup System State: dùng để backup lại database của Active Directory. Dùng chương trình backup NTBACKUP có sẳn của Windows để tiến hành backup system state cho hệ thống. b. Restore AD: Tùy vào các trường hợp khác nhau của sự cố Domain Controller ta tiến hành các kiểu restote database khác nhau • Trường hợp 1: Authoritative Restore Khi chọn cách phục hồi này từ máy DC1 (file backup ở trên máy này), dữ liệu được nhân bản (replicate) ngược lại từ máy DC2. Nếu muốn chọn giữ lại đối tượng nào được tạo ra sau thời điểm backup trên DC1 ta sẽ chạy dòng lệnh NTDSUNTIL để giữ lại đối tượng đó. Giả sử muốn giữ lại user NV-Ktoan01 trên DC1 được tạo ra sau thời điểm backup, ta lần lượt chạy dòng lệnh trên cmd như sau: NTDSUNTIL Authoritative Restore Restore Object “cn=NV-Ktoan01,ou=Ktoan,ou=KeToan,dc=vntransport,dc=vn” Trang 11

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN

-BÀI BÁO CÁO TIỂU LUẬN

(CÔNG TY TPLTRANSER)

GVHD: Th.s Nguyễn Thành Thái SVTH: Nguyễn Văn Đông – 11358001 Mai Minh Phụng _ 11346541

LỚP: CDTH10BLT

Tp Hồ Chí Minh, tháng 2 năm 2014.

Chúng em bày tỏ lời cảm ơn chân thành và sâu sắc nhất đến thầy giáo: Nguyễn

Thành Thái, người đã giảng dạy bộ môn thiết kế mạng và hướng dẫn chúng em thực

hiện bài tiểu luận này Và chúng em gửi lời cảm ơn đến hai anh: Nguyễn Mạnh Cường &

Tô Văn Tỏ là nhân viên IT của công ty THNH Nhân Thăng đã cung cấp tài liệu và hướngdẫn chúng em rất nhiều

Chúng em trân trọng cảm ơn đến các thầy, cô giáo Khoa công nghệ thông tin Trường đại học công nghiệp thành phố Hồ Chí Minh, các thầy cô bộ môn đã giảng dạy,tạo điều kiện cho chúng em hoàn thành bài tiểu luận này

-Đồng thời chúng tôi cũng gửi lời cảm ơn đến anh chị và bạn bè sinh viên cùngchuyên ngành cũng như các anh em trên các blog, diễn đàn đã chia sẻ tài liệu, góp ý kiếngiúp chúng tôi trong suốt thời gian qua

Mặc dù đã cố gắn hết sức, nhưng cuốn tiểu luận này không tránh khỏi những thiếusót Rất mong quý thầy cô và bạn bè đóng góp ý kiến để chúng em hoàn thiện bài tiểuluận này tốt hơn

Xin chân thành cảm ơn

Nhóm thực hiện

Nguyễn Văn Đông & Mai Minh Phụng

………

………

………

………

………

………

………

………

1 Mục đích yêu cầu 1

2 Tổ chức công ty 2

3 Thiết kế logic và thiết kế vật lý 2

4.Thiết bị cài đặt 4

5 Phần mền ứng dụng 5

6 Phương án triển khai 5

6.1 Bảng phân hoạch IP 5

6.2 Thiết kế và xây dựng sơ đồ hệ thống 6

6.2.1 Thiết kế và xây dựng Domain 6

6.2.2 Xây dựng cấu trúc OU và Group 8

6.3 Chiến lược Backup và Restore Active Directory 10

6.3.1 Yêu cầu khi thực hiện Backup Restore cho Active Directory 10

6.3.2 Định hướng thực hiện 11

6.3.3 Cách thực hiện: 11

6.3.4 Tổng kết Backup & Restore AD 12

6.4 Thiết kế và xây dựng DNS 13

6.4.1 Chức năng của DNS server: 13

6.4.2 Yêu cầu định hướng và cách thực hiện 13

6.4.3.Tổng kết dịch vụ DNS 14

7 Chiến lược bảo vệ 14

7.1 Xây dựng và Cấu hình File server 14

7.2 Định hướng phân quyền NTFS và cách thức thực hiện: 14

7.3 Sử dụng Quota để giới hạn không gian lưu trữ 16

7.4 Giám sát hoạt động của nhân viên trên file server với Audit 17

7.6 Chiến lược Backup & Restore cho File Server 18 7.7 Xây dựng ổ đĩa dự phòng Raid 19

1 Mục đích yêu cầu

Xây dựng hệ thống File Server và chiến lược sao lưu phục hồi dữ liệu cho usertrong hệ thống mạng của Cty với các yêu cầu sau:

- Mỗi Nhân viên đều có quyền tương ứng trên File Server

- Hệ thống File Server chứa tài nguyên phải được chia sẻ

- Mỗi Nhân viên khi logon vào hệ thống sẽ có 2 ổ đĩa mạng (dùng chung

- Group policy: account, local, software restriction

- File server: Sharing & NTFS permission, backup & restore

- User & Group: home folder, script (log in)

- DHCP

- DNS

- Printer server: ngoài các cấu hình cơ bản có thêm phần có thể sử dụngprinter qua internet

Cấu trúc toà nhà của công ty gồm một tầng trệt và ba tầng lầu Tầng một đã được

sử dụng cho ba phòng ban, tầng hai cho hai phòng ban, tầng ba là tầng quản lý tậptrung các máy chủ quan trọng của công ty

Chi tiết: Nhân sự và phòng ban trong công ty:

- Phòng Hành chính nhân sự: 10 người (tầng 1)

- Phòng Kế hoạch kinh doanh: 10 người (tầng 1)

- Phong Kỹ Thuật: 10 người (tầng 1)

- Phòng Tài chính – Kế Toán: 20 người (tầng 2)

- Phòng Ban Giám Đốc: 4 người (tầng 2)

3 Thiết kế logic và thiết kế vật lý

Công ty cần xây dựng 1 hệ thống mạng theo mô hình domain để quản lý tậptrung tạo điều kiện thuận lợi cho việc quản trị hệ thống mạng

Có tấc cả 5 server, trên mỗi server chạy các dich vụ khác nhau để tiết kiệmchi phí Chi tiết về các dịch vụ trên mô hình chức năng sau:

Hình 1: Mô hình chức năngThiết kế mô hình vật lý

Hình 2: Mô hình vật lý

Nhược điểm: hệ thống có thể xảy ra lỗi do phần mềm nên cần có nhân viên kỹ thuậtchuyên môn hỗ trợ

5 Phần mền ứng dụng

- Sử dụng Windows Server 2003 để cài đặt và quản lý tấc cả các dịch vụquan trọng trong công ty

- File server: Lưu trữ, chia sẽ, quản lý dữ liệu tập trung

- Domain Controller, DNS, DHCP server: quản lý hệ thống các đốitượng, phân giải tên, cấp phát IP động cho toàn bộ vùng mạng LAN

- Web, FTP, Printer server: Quản lý web, ftp và máy in mạng

- RIS, WSUS: triển khai hệ điều hành, cập nhật các bản vá lỗi cho hệthống

- RRAS, Antivirus: làm chức năng router (Lan-Routing, VPN, NAT),quản lý việc quét virus cho các antivirus client trên máy nhân viên vàcập nhật các bản diệt virus mới từ internet

6 Phương án triển khai

6.1 B ng phân ho ch IPảng phân hoạch IP ạch IP

DN 2

DHCP 2

192.168.1.98 Forw ader: đến Isp File server

WSUS server

RIS server

192.168.1.98 Web server

6.2 Thiết kế và xây dựng sơ đồ hệ thống

6.2.1 Thiết kế và xây dựng Domain

Xây dựng cấu trúc Active Directory

Hình 4: Mô hình Domain

Chức năng của Domain Controller:

Máy DC giúp quản lý các đối tượng như domain, ou, group, user, máy in, và rấtnhiều các đối tượng khác Để máy DC hoạt động ổn định, cấu hình đúng là cực kỳ quantrọng Ta tiến hành xây dựng 2 DC đồng cấp trên hệ thống giúp tối ưu hóa khả năng làmviệc cũng như sự an toàn cho hệ thống

Ưu điểm:

Hai máy DC đồng cấp có cơ cấu Replicate dữ liệu qua lại và hoạt động nganghàng Khi có một user gửi yêu cầu lên DC1 xử lí, thông tin từ user thứ 2 sẽ được tiếp

nhận bởi DC2 Hai máy này sẽ thay phiên nhau làm việc, giúp hệ thống vận hành nhẹnhàng hơn.

Khi có một máy trong hệ thống không hoạt động nữa, máy DC còn lại sẽ có nhiệm

vụ thực hiện hết tấc cả các công việc điều hành và quản lý các đối tượng Giúp hệ thốngvẫn vận hành tốt khi có sự cố với một máy DC nào đó

Khi xây dựng 2 dc đồng cấp, dữ liệu truyền qua giữa 2 máy này theo cơ chế nhân bản(Replicate), bảo mật và không chiếm quá nhiều băng thông hệ thống như quá trìnhtransfer

Ta xây dựng 2 máy Domain controller đồng cấp lần lượt như sau:

DC1:

- Domain type: Forest Root Domain

- Full quality domain name: server01.vntransport.vn

DC2:

- Domain type: Additional Domain

- Full quality domain name: server02.vntransport.vn

DC1 và DC2 đồng cấp hoạt động ngang hàng chia sẽ thực hiện các yêu cầu từ các clienttrong hệ thống Khi DC1 bị sự cố DC2 có nhiệm vụ thực hiện quản lý các đối tượng choDC1

6.2.2 Xây dựng cấu trúc OU và Group

Hình 5: Mô hình OU và GROUP

Chiến lược Group được sử dụng: A-G-P, áp dụng khi forest có một domain và ít user.Giải thích chiến lược A-G-P: Account – Global Group – Permission Các User Account(A) được đưa vào Global Group (G), và giới hạn quyền tới group này (P)

 Ưu điểm:

- Các group không lồng vào nhau nên việc xử lý sự cố sẽ dễ dàng hơn

- Tài khoản thuộc về một phạm vi nhóm đơn lẻ

 Nhược điểm:

- Tại mọi thời gian một người dùng xác nhận với một tài nguyên Server kiểm tra thànhviên của nhóm và xác định nó có phải là member không?

- Sự thực thi bị giảm sút với vì nhóm global không có Cache

6.3 Chiến lược Backup và Restore Active Directory.

Để đảm bảo sự an toàn cho dữ liệu và khả năng hồi phục dữ liệu khi cần thiết Tatiến hành backup và restore cho Active Directory

6.3.1 Yêu cầu khi thực hiện Backup Restore cho Active Directory

- Đảm bảo dữ liệu được lưu trữ tốt để phục hồi sau backup

- Lựa chọn thời đúng thời điểm để backup không gây ảnh hưởng hoạt độngcủa máy chủ

- Sử dụng các chiến lược restore hợp lý khi gặp những sự cố khác nhau trênAD

6.3.2 Định hướng thực hiện

- Sử dụng thiết bị lưu trử chuyên dụng cho việc backup là Tape Driver:Hewlett Packard StorageWorks DAT 24 (DW069A) DAT Tape Drive DAT, 12

GB, USB 2.0 Interface, Internal Enclosure, 1.5 MBps, For: PC Platforms

- Chọn thời gian backup thích hợp tốt nhất là vào những lúc vắng nhân viênlàm việc như vào lúc nghỉ trưa hoặc sau giờ làm việc

- Sử dụng các chiến lược restore phù hợp như: Primary, Non-Authoritative,Anthoritative

6.3.3 Cách thực hiện:

a.

Backup System State: dùng để backup lại database của Active Directory.

Dùng chương trình backup NTBACKUP có sẳn của Windows để tiến hành backupsystem state cho hệ thống

b Restore AD: Tùy vào các trường hợp khác nhau của sự cố Domain

Controller ta tiến hành các kiểu restote database khác nhau

 Trường hợp 1 : Authoritative Restore

Khi chọn cách phục hồi này từ máy DC1 (file backup ở trên máy này), dữ liệuđược nhân bản (replicate) ngược lại từ máy DC2 Nếu muốn chọn giữ lại đốitượng nào được tạo ra sau thời điểm backup trên DC1 ta sẽ chạy dòng lệnhNTDSUNTIL để giữ lại đối tượng đó

Giả sử muốn giữ lại user NV-Ktoan01 trên DC1 được tạo ra sau thời điểmbackup, ta lần lượt chạy dòng lệnh trên cmd như sau:

NTDSUNTIL

Authoritative Restore

Restore Object “cn=NV-Ktoan01,ou=Ktoan,ou=KeToan,dc=vntransport,dc=vn”

Restart

 Trường hợp 2 : Non-Authoritative Restore

Hình thức này sẽ ghi lại tình trạng hệ thống khi tiến hành backup kết hợp vớinhững đối tượng từ máy DC bên kia sau khi bản backup được tạo ra, giả sử ta tạobản backup trên DC1 và sau đó tạo user NV-Ktoan01 trên DC2 Sau đó tiến hànhrestore file backup Sau khi restore hệ thống sẽ bao gồm những đối tượng khibackup cùng với user NV-Ktoan01 được tạo ra trên DC2 nhân bản qua

 Trường hợp 3 : Primary Restore

Hình thức này sẽ lấy trạng thái mới nhất cho file backup và phục hồi lại cho DCtiến hành restore, hệ thống tự động đồng bộ cho DC khác trên hệ thống Ta sửdụng cách backup này khi tấc cả các máy DC đều bị mất dữ liệu và muốn phụchồi lại dữ liệu tại thời điểm backup

6.3.4 Tổng kết Backup & Restore AD

Một hệ thống an toàn là hệ thống được backup thường xuyên và sử dụngchiến lược restore đúng thời điểm Sử dụng chiến lược backup restore AD giúp dữliệu trên các máy DC được bảo đảm an xảy ra biến cố hệ thống

6.4 Thiết kế và xây dựng DNS

DNS là một mấu chốt quan trọng cho sự vận hành hệ thống mạng Để DNShoạt động tốt, ta cần thực hiện thiết kế và cài đặt đúng phương pháp và chính xác

6.4.1 Chức năng của DNS server:

Ngoài chức năng phân giải tên miền thành IP và ngược lại Vì DNS là một

cơ sở dữ liệu phân tán và có khả năng mở rộng Nó giúp người quản trị cục bộ cóthể quản lí dữ liệu nội bộ thuộc phạm vi của họ, dữ liệu này được truy cập trêntoàn bộ hệ thống theo mô hình client-server

Ưu điểm:

- Tăng khả năng chịu lỗi

- Cân bằng tải

- Security (dynamic update)

- Giảm traffic hệ thống (không phải transfer mà thông tin Dns đượcreplicate chung voi AD)

6.4.2 Yêu cầu định hướng và cách thực hiện

Xây dựng 2 DNS primary server để đảm bảo tính sẵn sàng và khả năng chịu lỗi.Khi 1 server bị sự cố DNS server còn lại sẽ thực hiện các yêu cầu phân giải của client

 Xây dựng hệ thống DNS trên server01

- Vào control panel cài đặt Dns service

- Cấu hình Primary Zone tích hợp AD

- Cấu hình Forward lookup zone và Reverse lookup zones

 Xây dựng DNS trên server02

- Chỉ cần cài đặt DNS service sau đó tấc cả các dữ liệu sẽ được replicate từ máydns1 qua

Sau khi cấu hình xong ta sẽ tiến hành kiểm tra DNS có phân giải đúng hay khôngbằng lệnh nslookup trên CMD Nếu phân giải tốt kết thúc quá trình cấu hình và tiếp tụcxây dựng các dịch vụ khác

6.4.3.Tổng kết dịch vụ DNS

DNS là một dịch vụ cực kỳ quan trọng trên hệ thống mạng Để DNS có thể phângiải đúng và có khả năng hoạt động ổn định, ta cần tiến hành các bước cấu hình chính xác

7 Chiến lược bảo vệ

7.1 Xây dựng và Cấu hình File server

File server được đặt trên một ỗ đĩa cứng riêng và định dạng theo chuẩn NTFS.Trên đĩa cứng này tạo phân vùng D chứa dữ liệu Phân vùng này chỉ sử dụng cho fileserver không có mục đích nào khác

 Xây dựng cây thư mục chứa dữ liệu trên phân vùng D

- Ta tạo ra 2 thư mục chức năng đảm nhận công việc riêng

 Public: thư mục dùng chung, nhân viên có thể lưu và chia sẽ dữ liệu tại đây

Trên Public chứa 2 thư mục dùng chung:

+ Report: thư mục lưu các báo cáo của nhân viên cho ban điều hành.

+ Application: thư mục lưu trữ các ứng dụng phù hợp để deploy xuống cho

từng phòng ban

 Private: thư mục dùng riêng, lưu trữ dữ liệu làm việc của từng nhân viên

riêng biệt Mỗi nhân viên khi logon vào hệ thống sẽ có một thư mục tương ứng,thư mục này sẽ làm My Document cho từng nhân viên

7.2 Định hướng phân quyền NTFS và cách thức thực hiện:

a Yêu cầu chung:

- Nhân viên không thể xóa hoặc thay đổi cấu trúc thư mục có sẵn

- Nhân viên có toàn quyền trên thư mục và dữ liệu mình tạo ra

- Nhân viên không chỉnh sữa hoặc xóa được dữ liệu của người khác

b Yêu cầu riêng:

Trên Public: Nhân viên được quyền đọc tấc cả các dữ liệu Được quyền tạo chỉnh sữa - xóa dữ liệu của mình, không được chỉnh sửa - xóa dữ liệu của ngườikhác

-+ Trên Report: Nhân viên chỉ có quyền đọc và ghi dữ liệu của mình.

+ Trên Application: chỉ dành cho admin deploy phần mềm.

- Trên Private: Chứa các thư mục tương ứng cho các nhân viên, khi nhân viênđăng nhập vào hệ thống lần đầu tiên thì sẽ tự động tạo ra một thư mục trùng trêncủa user nhân viên, thư mục này được sử dụng làm My Documents cho nhân viên

khi làm việc trên hệ thống Dữ liệu của nhân viên được lưu trữ trực tiếp trên server

và nhân viên sẽ thấy duy nhất dữ liệu của mình, không thấy bất cứ thư mục nàocủa các nhân viên khác

c Cách phân quyền NTFS

 Công việc chung:

- Share 2 thư mục với tên tương ứng

- Thiết lập Full Control cho Everyone ở Share Permission cho tấc cả các thư mụcshare

- Cấu hình NTFS Permission:

+ Gỡ bỏ đặc tính thừa hưởng trên ổ đĩa D

+ Remove group Nhân viêns khỏi ổ đĩa D

+ Add các group tương ứng của phòng ban vào

+ Thiết lập Full control cho tài khoản CREATE OWNER trên D

 Công việc riêng trên từng thư mục share:

Bảng phân quyền:

Folder Share NTFS (advanced) Users/Group Apply onto

control Travel Folder /Execute file

List Folder / ReadData

Read Attributes

Attributes

Create Folders /Append Data

BanGiamDocThuKy

KToanHC-NSKT-KDKThuat

This folders,subfolders andfiles

control

Travel Folder /Execute file

List Folder / ReadData

Create Folders /Append Data

Read Attributes

Write Attributes

BanGiamDocThuKy

KToanHC-NSKT-KDKThuat

This folders,subfolders andfiles

Application Full

control

Full control Administrator This folders,

subfolders andfiles

 Sử dụng Group Policy để cấu hình thư mục Private chứa các My Documents của

nhân viên

7.3 Sử dụng Quota để giới hạn không gian lưu trữ.

a Ưu điểm và nhược điểm

- Ưu điểm: Giới hạn được không gian sử dụng ỗ đĩa mạng cho nhân viên, tránhtình trạng sử dụng quá nhiều làm ảnh hưởng cho file server, lãng phí tài nguyêncũng như tốc độ truy xuất dữ liệu của những nhân viên khác

- Nhược điểm: Đối với các phòng khác nhau phải thiết lập các mức hạn ngạchkhác nhau tùy vào nhu cầu, mỗi khi dữ liệu làm việc của một ai đó đã đầy chúng taphải điều chỉnh lại mức hạn ngạch Không thể thiết lập một lần để sử dụng mãimãi

b Cách thực hiện

Mỗi nhân viên chỉ được sử dụng 500mb trên ỗ đĩa cứng của file server

Thông báo cho nhân viên khi dùng đến 450mb, đến 500mb thì không lưu dữ liệuđược nữa

Thiết lập quota cho tấc cả các nhân viên như sau:

Limit disk space: 500mb

Warning level: 450mb

7.4 Giám sát hoạt động của nhân viên trên file server với Audit

Giám sát các hoạt động của nhân viên trên file server như: tạo, chỉnh sữa, xóa…

a Ưu điểm và nhược điểm

- Ưu điểm: giám sát giúp quản lý được công việc của user và có thể ghi ra báo cáokhi cần thiết

- Nhược điểm: làm công việc xử lý trên file server diễn ra chậm hơn do mỗi lần cócác sự kiện xảy ra phải ghi lại những sự kiện đó

a Ưu điểm và nhược điểm

- Ưu điểm: restore lại một cách nhanh chóng, ghi lại nhiều version khác nhau củamột file cho phép thực hiện quá trình restore theo ngày giờ cụ thể

- Nhược điểm: chỉ khắc phục những sự cố nhỏ khi bị xoá mất file hay thư mục.Không thể thay thế được các hình thức sao lưu truyền thống